[发明专利]一种基于定制硬件安全属性的内核敏感数据保护方法

权利要求书

1.一种基于定制硬件安全属性的内核敏感数据保护方法，其特征在于，在用户态进程切换至内核态请求内核服务之前，内核预先生成密码学算法操作所需要的密钥，在内核态进程执行过程中，当内核态进程涉及相关的内核敏感数据操作时，使用扩展后的密码学操作的指令对内核敏感数据进行加密或解密，加密或解密时输入一个随机变量；

所述的内核敏感数据包括控制数据、中间结果和内核密钥；所述控制数据包括返回地址、函数指针，所述中间结果为密码学库运算过程中生成的中间变量；

当内核态进程将内核敏感数据存储到内存中时，使用扩展后的密码学操作的指令对内核敏感数据进行加密；当内核态进程使用内核敏感数据时，通过输入与加密时相同的随机变量将内存中的密文解密；所述的随机变量为固定常量、随机数或运行时上下文信息；

所述的扩展后的密码学操作的指令接收操作内容、密钥以及随机变量三个输入；

所述的密钥存储在隔离的特殊寄存器中，所述密钥的更新频率应根据应用场景的安全性能要求决定；

所述的扩展后的密码学操作的指令对敏感内容进行加密或解密时选用轻量级对称密码算法，所述轻量级对称密码算法包括轻量级分组密码和轻量级可调分组密码，所述轻量级分组密码为PRESENT、Lblock，所述轻量级可调分组密码为QARMA、CRAFT。

2.根据权利要求1所述的基于定制硬件安全属性的内核敏感数据保护方法，其特征在于，所述的密钥的更新频率为，每次进入内核态时密钥更新一次。

3.根据权利要求1所述的基于定制硬件安全属性的内核敏感数据保护方法，其特征在于，该方法在单条指令内完成原子的密码学运算。